I – L’impossible compromis de la directive 2006/24

Reflet des préoccupations sécuritaires post-11 septembre 2001, la Directive 2006/24 impose aux fournisseurs d’accès internet et aux opérateurs de télécommunications fixes et mobiles l’obligation de collecter et de conserver certaines données de connexion afin de garantir leur disponibilité pour la recherche et la constatation des "infractions graves". Il s’agit principalement des informations permettant d’identifier les abonnés (nom, adresse) et les données relatives à la communication elle-même (date, heure, durée, adresse IP …). Pour autant, la conservation des données révélant le contenu d’une communication électronique est interdite en raison de leur caractère confidentiel (art. 5 de la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques).

La Directive 2006/24 traduit donc la volonté des États Membres de créer des règles leur conférant le droit d’accéder aux données des utilisateurs de services de communications électroniques au nom de la lutte contre les infractions, alors même qu’il s’agit de données sensibles car liées à la vie privée des personnes. Dans ces conditions, le compromis opéré par la Directive 2006/24 entre les enjeux de sécurité publique et les droits fondamentaux avait très tôt été jugé insuffisant par certains eurodéputés (voir l’opinion minoritaire et les avis des commissions parlementaires lors de la procédure d’adoption) bientôt rejoints par tous les opposants à la mise en place d’une "surveillance de masse".

Plus récemment, la Directive 2006/24 avait également été fragilisée par plusieurs rapports de la Commission européenne, du Groupe de l’Article 29 et du Contrôleur européen des données personnelles qui estimaient que la Directive 2006/24 devait être révisée afin de minimiser les atteintes portées à la vie privée des personnes. En synthèse, la trop grande liberté accordée aux États Membres dans la détermination des modalités (gravité des infractions, autorités nationales compétentes, respect des droits des personnes…) et la durée de conservation (entre six mois et deux ans) des données débouchait sur des lois nationales différentes où l’utilisation des données était rarement limitée à la lutte contre les infractions graves. Ce constat était également partagé au niveau des États Membres : la République Tchèque, l’Allemagne et la Roumanie ont vu leurs lois de transposition annulées par leurs cours constitutionnelles respectives, tandis que la validité même de la Directive 2006/24 faisait l’objet de plusieurs questions préjudicielles adressées à la CJUE.

II – La directive 2006/24 invalidée par la CJUE

La High Court of Ireland et la Cour constitutionnelle autrichienne avaient adressées à la CJUE des questions préjudicielles portant sur la validité de la Directive 2006/24 en raison des risques d’atteinte à la vie privée des personnes, dont la protection est garantie par la Charte des droits fondamentaux de l’Union européenne (article 7 : droit au respect de la vie privée ; article 8 : droit à la protection des données à caractère personnel). Les questions préjudicielles étaient donc avant tout une affaire d’équilibre et de proportionnalité entre les droits fondamentaux précités et les mesures prescrites par la Directive 2006/24.

Conformément aux conclusions de l’avocat général, la CJUE confirme que si la lutte contre le terrorisme et la criminalité grave constitue une finalité légitime en assurant la sécurité publique, la Directive 2006/24 porte bien une atteinte disproportionnée aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.En effet pour la CJUE, l’atteinte aux droits fondamentaux est bien réelle puisque les données conservées sont « susceptibles de fournir des indications très précises sur la vie privée des personnes, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers, les activités exercées, les relations sociales et les milieux sociaux fréquentés ». Pour autant selon la CJUE, la Directive 2006/24 ne comporte pas de garanties suffisantes permettant de limiter cette ingérence aux mesures strictement nécessaire pour atteindre la finalité de protection de la sécurité publique.

D’une part, l’obligation de conservation des données s’applique de manière générale à tous types de personnes, de moyens de communication électronique et de données sans qu’aucune limitation ne soit opérée selon la gravité des infractions poursuivies. Or pour la Cour la finalité de la Directive 2006/24, qui est seulement de lutter contre les  "infractions graves", impose de faire varier les mesures de conservation des données selon la gravité de l’infraction : ainsi selon cette logique, les personnes n’étant pas soupçonnées ne peuvent nécessairement pas être soumises aux mêmes règles que celles ayant commis certaines infractions pénales et/ou faisant l’objet d’enquêtes. En outre, la durée de conservation des données (entre six et vingt-quatre mois) est perçue comme injustement générale puisqu’elle ne prend pas non plus en compte les catégories de données, les personnes concernées et la pertinence des données conservées.

D’autre part, la Cour considère que les conditions d’accès aux données collectées sont définies de manière trop large et sans mesures véritablement protectrices des droits des personnes. La CJUE dénonce notamment l’absence de garanties permettant de s’assurer que les données sont effectivement utilisées par les autorités nationales compétentes dans le respect des finalités de la directive. À ce titre, l’absence d’obligation faite aux États membres d’instaurer une juridiction ou une entité administrative indépendante ayant la charge de contrôler préalablement les conditions de divulgation des données s’avère très préjudiciable à la validité de la directive 2006/24. En outre, la sécurité des données est aussi jugée insuffisante dès lors qu’elles peuvent être conservées en dehors de l’Union Européenne et que leur destruction en fin de leur période de conservation n’est pas envisagée.

III – Un cadre juridique fragilisé

La décision rendue par la CJUE le 8 avril 2014 est lourde de conséquences puisqu’elle invalide l’intégralité de la Directive 2006/24 à compter de sa date d’entrée en vigueur, alors que l’avocat général souhaitait suspendre les effets du constat d’invalidité pour permettre au législateur européen de mieux y remédier. Il s’agit donc d’un signe fort envoyé aux États Membres pour les inciter à limiter les conditions dans lesquelles il est possible d’accéder aux données des utilisateurs de services de communications électroniques.

Bien que l’invalidité de la directive 2006/24 n’entraîne pas directement l’annulation des lois nationales de transposition, la légalité des textes français organisant la collecte et la communication de données semble désormais incertaine au regard des enseignements délivrés par la CJUE, si tant est qu’ils soient suivis par les juridictions françaises. En effet, certains reproches formulés par la CJUE à l’encontre de la Directive 2006/24 paraissent également concerner le dispositif mis en place par la loi n° 2004-669 du 9 juillet 2004 (codifiée aux articles L. 34-1 et suivants du Code des Postes et des Communications Électroniques) qui oblige les "opérateurs de communications électroniques" à collecter et conserver les données de connexion énumérées à l’article R. 10-13 CPCE pendant une durée d’un an pour les besoins de "la recherche, la constatation et la poursuite des infractions pénales" par les autorités judiciaires ou administratives (ANSSI, HADOPI notamment). Or ce dispositif s’applique de manière générale à toute personne utilisatrice d’un service de communication électronique accessible au public, et aucune distinction n’est faite entre les personnes concernées et la gravité des infractions pour moduler les atteintes à la vie privée des personnes. Par conséquent, la conformité du droit français au droit européen tel qu’interprété dernièrement par la CJUE pourrait être remise en cause devant les juridictions françaises, tant par les personnes victimes d’une atteinte disproportionnée à leur vie privée que par les fournisseurs de services de communications électroniques.

En pratique, la non-conformité du droit français aux nouvelles exigences du droit européen en matière de protection des droits fondamentaux place une nouvelle fois les prestataires de services de communications électroniques dans une situation d’insécurité juridique. Alors que l’identification des personnes soumises à l’obligation de conservation des données fait depuis de nombreuses années l’objet d’incertitudes (quid de l’installation par une société d’un réseau Wifi accessoire à son activité principale?), l’invalidation de la Directive 2006/24 contribue maintenant à brouiller les obligations applicables aux "opérateurs de communications électroniques". Dès lors que l’article L. 34-1 du CPCE n’est manifestement pas conforme aux exigences du droit européen, doivent-ils pour autant continuer à divulguer aussi largement les données des utilisateurs au risque de porter atteinte aux droits fondamentaux des personnes concernées ? Au contraire, peuvent-ils invoquer la décision de la CJUE du 8 avril 2014 pour s’opposer aux demandes de communication provenant des autorités policières et judiciaires qui excéderaient les limites posées par la justice européenne ? En tout état de cause, il reviendra aux juridictions françaises de se prononcer sur l’impact de cette décision en droit français et sur les garde-fous nécessaires à la protection de la vie privée avant qu’une nouvelle directive ne soit élaborée par la Commission européenne.

Sylvain Staub et Jean-Baptiste Belin, avocat associé et avocat chez Staub & Associés   

A propos des auteurs

Sylvain Staub

Avocat au Barreau de Paris depuis 1997, Sylvain Staub, Associé, Staub & Associés intervient à la fois en conseil et en contentieux, auprès de nombreux prestataires informatiqueset télécom français et étrangers (Intégrateur, SSII, Editeurs, Opérateurs…), ainsi qu’auprès de leurs clients, PME ou Grands Comptes. 

 

Jean-Baptiste Belin

Jean-Baptiste Belin collabore au sein du cabinet Staub & Associés depuis 2013. Son activité concerne principalement le droit des nouvelles technologies (contrats informatiques, communication sur internet, e-commerce, droit des données à caractère personnel), tant en conseil qu’en contentieux.